文章作者:Bruce Schneier是美国密码学家,作家和计算机安全专家。 关于安全性,密码学和信息安全性的几本书的作者。 加密公司Counterpane Internet Security,Inc.的创始人,国际密码学研究协会理事会成员和电子隐私信息中心顾问委员会成员。
量子计算是一种进行计算的新方法,它将使人类能够执行使用现代计算机根本无法实现的计算。 快速搜索的能力将破坏一些现代的加密算法。 容易进行的大数分解将破坏任何密钥长度的RSA密码系统。
这就是为什么密码学家现在正在大力开发和分析“量子稳定的”公共密钥算法的原因。 目前,量子计算尚未准备好进行常规评估:什么是安全的,什么不是。 但是,如果我们假设外星人已经充分开发了该技术,那么量子计算并不是密码学的世界末日。 对于对称密码术,量子稳定性是最基本的,现在我们正在寻找抗量子的公共密钥加密算法。 如果由于我们的数学知识和计算能力上的差距而导致公钥密码学只是暂时的异常而存在,那么我们仍然可以生存。 而且,如果某种不可思议的外来技术破坏了所有的密码技术,即使信息功能严重丧失,我们仍将基于信息理论保持秘密。
实际上,密码学依赖于数学上的扭曲,即某些事情比取消更容易。 断开板比将其粘回去是多么容易,将两个素数相乘也比将结果分解回去要容易得多。 这种不对称性(单向函数和带有秘密输入的单向函数)是所有加密技术的基础。
为了加密消息,我们将其与密钥结合在一起以形成密文。 如果没有密钥,则逆转该过程将更加困难。 不仅要困难一点,而且在天文方面也要困难一些。 现代加密算法是如此之快,以至于它们将对整个硬盘进行加密而不会降低速度,并且破解密码的过程将一直持续到宇宙热死为止。
使用对称加密来加密消息,文件和磁盘时,这种不平衡是指数级的,并且随着密钥的增长而增加。 增加一个密钥位会使加密复杂度降低不到百分之一(大致而言),但使黑客破解复杂度加倍。 因此,一个256位密钥看起来仅是128位密钥的两倍,但是(就我们目前的数学知识而言)它是340,282,366,920,438,463,463,374,607,607,431,768,211,456,400倍难以破解。
公钥加密(主要用于密钥交换)和数字签名更加复杂。 由于它们依赖于复杂的数学问题(例如因式分解),因此有更多不同的技巧可以逆转它们。 因此,在这里您将看到长度为2048位的RSA密钥和384位为基于椭圆曲线的算法的密钥。 但是话又说回来,用这些密钥破解密码超出了人类当前的能力。
单向函数的行为基于我们的数学知识。 当您听说某个加密算法破坏了算法时,就意味着它找到了一个简化反转的新技巧。 密码学家总是会发现新的花样,因此我们倾向于使用比严格必要时间更长的密钥。 对于对称算法和公钥算法都是如此:我们正在努力保证将来的可靠性。
量子计算机有望改变很多这种情况。 就其性质而言,它们非常适合于逆转这些单向函数所需的计算。 对于对称密码,这还不错。
Grover的算法表明,量子计算机可以加快攻击速度,从而有效密钥长度减少一半。 也就是说,对于量子计算机而言,256位密钥与常规计算机中的128位密钥一样复杂:在可预见的将来,这两者都是安全的。
对于公钥加密,结果更糟。
Shore的算法可以轻松分解基于分解和离散对数的所有流行的公钥算法。 密钥长度加倍会使破解的复杂性增加八倍。 这不足以实现可持续发展。
关于最后两段有很多保留,主要的保留是,目前尚不存在能够执行类似操作的量子计算机,而且没人知道我们何时可以构建一个-如果可以的话。 当我们尝试在除玩具大小的键以外的任何东西上实现Grover或Shore算法时,我们也不知道会遇到什么实际困难(量子计算机上的纠错机制很容易成为无法解决的问题)。 另一方面,我们不知道人们开始使用真正的量子计算机后会发现什么其他方法。 我敢打赌,我们将克服工程问题,会有许多成就和新方法,但是发明它们需要时间。 正如我们花了数十年时间设计手持式超级计算机一样,花了数十年时间才能解决制造足够强大的量子计算机所需的所有工程问题。
在短期内,密码学家为开发和分析量子鲁棒算法做出了巨大的努力。 他们可能会保持几十年的安全。 由于良好的密码分析需要时间,因此该过程可能会很慢。 幸运的是,我们有时间。 实际上,实际的量子计算似乎总是“未来十年”。 换句话说,没有人有丝毫想法。
但是算法总是有可能用最好的量子技术破解外星人。 我不太担心对称加密,其中Grover的算法本质上是量子计算的最大极限。 但是基于数字理论的公钥算法似乎更脆弱。 量子计算机有一天可能会破坏它们的全部能力,即使现在被认为是量子稳定的计算机也是如此。
如果发生这种情况,我们将处于一个没有公钥加密的世界。 这将是巨大的安全打击,并将破坏许多系统,但是我们将能够适应。 在1980年代,Kerberos是一个完全对称的身份验证和加密系统。 而现在,GSM蜂窝标准仅通过对称加密就可以大规模执行身份验证和密钥分发。 是的,这些系统具有集中的信任点和失败点,但是可以开发使用秘密分离和秘密共享两者来最小化此风险的其他系统。 (想象一下,一对通信参与者从五个不同的密钥服务器中的每个接收一部分会话密钥)。 无处不在的通讯使情况变得更容易。 我们可以使用带外协议:例如,您的手机将有助于为计算机生成密钥。 为了提高安全性,您可以使用个人注册:可以在购买智能手机或注册互联网服务的商店中进行。 硬件的发展也将有助于保护这个世界上的密钥。 我并不是想发明任何东西,我只是说有很多可能性。 我们知道加密是基于信任的,并且与Internet的早期相比,我们拥有更多的信任管理方法。 一些重要的技术,例如直接保密,将变得更加复杂,但是在对称密码术起作用的同时,我们将保留保护。
这是一个奇怪的未来。 像现代公钥系统一样,基于数字理论的密码学整体思想也许是由于计算模型中的空白而存在的暂时现象。 现在该模型已经扩展到包括量子计算在内,我们可以成为1970年代末和1980年代初的地方:对称密码学,基于代码的密码学,默克尔的签名。 这将是有趣和讽刺的。
是的,我知道量子密钥分发可以替代公共密钥加密。 但说实话:有人真的相信需要专用通信设备和电缆的系统将用于除利基应用以外的任何其他功能吗? 未来将存在于永远在线的移动计算设备中。 它们的所有安全系统将仅仅是软件。
未来还有另一种情况,更不用说量子计算机了。 单向函数基于尚未证明的几种数学理论。 这是计算机科学中的开放性问题之一。 就像一个聪明的密码学家可以找到一种有助于破解某种算法的新技巧一样,我们可以想象外星人拥有足够的数学理论来破坏所有的加密算法。 对于我们今天来说,这简直是荒谬的。 公钥密码术是一种数字理论,可能在数学上更加识字的外星人容易受到攻击。 对称密码是如此非线性复杂,并且密钥的长度很容易增加,以至于很难想象未来。 想象一下具有512位块和密钥大小以及128轮加密的AES变体。 除非您提出了一个全新的数学方法,否则这种加密将是安全的,除非计算机在其他方面进行了其他事情。
但是,如果发生了无法想象的事情,那么仅基于信息理论(即一次性笔记本及其变体),密码学将依然存在。 这将是对安全的巨大打击。 从理论上讲,一次性笔记本是安全的,但实际上,它们不适合专门利基应用以外的任何产品。 如今,只有心理医生试图在一次性记事本的基础上构建通用系统-密码学家嘲笑它们是因为它们用管理密钥和物理安全性问题(更复杂得多)取代了开发算法(容易)的问题。 也许在我们被外星人覆盖的美好未来中,我们只会有这样的退出。
面对这些像神一样的外星人,密码学将仍然是我们可以肯定的唯一技术。 核弹可能不会爆炸,战斗机可能会从天上掉下来,但我们仍然可以使用一次性笔记本电脑进行安全通信。 在这方面有一定的乐观。